Compreenda a cobertura de ameaças com a matriz MITRE ATT&CK
Este documento descreve como usar o painel de controlo da matriz MITRE ATT&CK no Google Security Operations. A matriz ajuda a compreender a postura de segurança da sua organização em relação à estrutura MITRE ATT&CK. Também ajuda a encontrar lacunas na sua cobertura de ameaças e a dar prioridade às suas tarefas de segurança.
Compreenda as táticas e as técnicas
Na estrutura MITRE ATT&CK, seguem-se os conceitos fundamentais usados para categorizar o comportamento do adversário.
Tática: objetivo de alto nível que um atacante está a tentar alcançar. Por exemplo, as táticas comuns incluem
Initial Access(entrar na rede),Persistence(permanecer na rede) eExfiltration(roubar dados).Técnica: o método específico usado para alcançar uma tática. Por exemplo, um atacante pode usar a técnica
Phishingpara ganhar a táticaInitial Access. Cada tática tem técnicas diferentes que um adversário pode usar.Subtécnica: uma subtécnica oferece uma descrição mais específica de como uma técnica é executada. Detalha o processo ou o mecanismo para alcançar o objetivo de uma tática. Por exemplo,
Spearphishing AttachmenteSpearphishing Linksão subtécnicas da técnicaPhishing.
As seguintes táticas são apresentadas na matriz MITRE ATT&CK:
| Tática do MITRE ATT&CK | Descrição |
|---|---|
| Coleção | Recolha dados. |
| Comando e controlo | Contactar sistemas controlados. |
| Acesso a credenciais | Roubar informações de início de sessão e palavras-passe. |
| Evasão de defesas | Evitar a deteção. |
| Descoberta | Descubra o seu ambiente. |
| Execução | Executar código malicioso. |
| Exfiltração | Roubar dados. |
| Impacto | Manipular, interromper ou destruir sistemas e dados. |
| Acesso inicial | Obter acesso ao seu ambiente. |
| Movimento lateral | Mover-se no seu ambiente. |
| Persistência | Manter a posição. |
| Escalamento de privilégios | Obter autorizações de nível superior. |
| Reconnaissance | Recolher informações para utilização em futuras operações maliciosas.
Esta tática é apresentada na matriz apenas quando a PREplataforma é selecionada nas preferências do utilizador.
|
| Desenvolvimento de recursos | Estabelecer recursos para apoiar operações maliciosas.
Esta tática é apresentada na matriz apenas quando a plataforma PRE está selecionada nas suas preferências do utilizador.
|
Exemplos de utilização comuns
Esta secção apresenta alguns exemplos de utilização comuns da matriz MITRE ATT&CK.
Identifique novas oportunidades de deteção
Objetivo: como analista de segurança, quer melhorar proativamente a postura de segurança da sua organização expandindo a cobertura das regras de deteção.
Tarefa: encontrar áreas onde tem os dados necessários para criar novas deteções, mas não tem regras implementadas.
Passos:
Abra a matriz MITRE ATT&CK.
Analise a matriz para ver cartões de técnicas que mostram uma contagem de regras baixa ou nula.
Encontre um cartão de técnica que apresente "0 regras", mas liste os tipos de registos disponíveis.
Clique no cartão para abrir o painel de detalhes da técnica.
Reveja a lista de origens de registos para confirmar que se trata de feeds de dados fiáveis e de grande volume.
Resultado: identificar uma oportunidade de deteção de elevado valor. Sabe que está a carregar com êxito os dados corretos para detetar esta técnica e, agora, pode avançar com a criação de uma nova regra para colmatar esta lacuna de cobertura.
Responda a um novo aviso de ameaça
Objetivo: a Cybersecurity and Infrastructure Security Agency (CISA) emite um alerta sobre um novo ransomware que está a atacar a sua indústria.
Tarefa: como engenheiro de deteção, tem de saber se as suas regras de segurança atuais conseguem detetar as táticas, as técnicas e os procedimentos (TTPs) específicos usados por esta nova ameaça.
Passos:
Abra a matriz MITRE ATT&CK.
Filtre a matriz para realçar as técnicas mencionadas no alerta da CISA (por exemplo,
T1486: Data Encrypted for ImpacteT1059.001: PowerShell).Observe a matriz. Constata que a matriz mostra que
PowerShellestá bem coberto, masData Encrypted for Impacté uma lacuna crítica com "Sem cobertura".
Resultado: encontra uma lacuna de alta prioridade nas suas defesas. Agora, pode criar uma nova regra de deteção para abranger o comportamento de ransomware.
Ajuste e melhore as deteções existentes
Objetivo: após um incidente de segurança recente, como engenheiro de segurança, tem de melhorar a qualidade das deteções que foram acionadas.
Tarefa: quer ver todos os pontos de dados de uma técnica específica. Isto ajuda a decidir se as regras existentes estão a usar as melhores origens de dados e lógica.
Passos:
Abra a matriz e clique na técnica
T1003: OS Credential Dumping.A vista Detalhes mostra as duas regras desta técnica.
Repare que ambas as regras usam registos da linha de comandos mais antigos. No entanto, o widget de origem de dados mostra que a nova ferramenta EDR fornece dados de maior fidelidade para esta técnica.
Resultado: encontra uma forma clara de melhorar a qualidade da deteção. Agora, pode criar uma regra nova e mais robusta com os dados de EDR. Isto leva a menos falsos positivos e a uma maior probabilidade de deteção de ataques de roubo de credenciais complexos.
Antes de começar
Para que as suas regras personalizadas apareçam na matriz e sejam contabilizadas para a cobertura de ameaças, tem de mapeá-las para uma ou mais técnicas do MITRE ATT&CK.
Para tal, adicione uma chave technique à secção metadata da regra. O valor tem de ser um ID de técnica MITRE ATT&CK válido ou vários IDs como uma string separada por vírgulas.
Exemplo: metadata: technique="T1548,T1134.001"
As novas regras aparecem na matriz em poucos minutos.
Aceda à matriz MITRE ATT&CK
Para aceder à matriz MITRE ATT&CK, faça o seguinte:
No menu de navegação, clique em Deteção > Regras e deteções.
Navegue para o separador Matriz MITRE ATT&CK.
A matriz MITRE ATT&CK é apresentada.
Use a matriz MITRE ATT&CK
A matriz apresenta as táticas do MITRE ATT&CK como colunas e as técnicas como cartões nessas colunas. Cada cartão de técnica tem um código de cores para indicar o estado atual e a profundidade da cobertura de deteção para essa técnica.
Nos cartões de técnicas, pode ver o seguinte:
Indicadores de subtécnicas: os pequenos indicadores coloridos representam as subtécnicas associadas. A cor de cada indicador corresponde ao número de regras para essa subtécnica. Mantenha o ponteiro sobre um indicador para ver o respetivo nome.
Ativar/desativar sub-técnicas: para simplificar a matriz principal e reduzir o ruído visual, abra o menu Opções de visualização e desmarque a caixa de verificação Apresentar sub-técnicas.
Contagem de tipos de registos: apresenta os tipos de registos associados à técnica. Se uma técnica tiver zero regras, o cartão da técnica pode apresentar uma contagem dos tipos de registos associados (por exemplo, "7 tipos de registos"). Isto indica uma oportunidade de deteção, mostrando que tem os dados necessários para criar regras para essa técnica.
Refine o cálculo da cobertura
Para refinar o cálculo da cobertura, use as listas para Tipo de regra, Estado em direto e Estado de alerta para refinar os cálculos da cobertura.
Pesquise técnicas
Use a barra de pesquisa para encontrar uma técnica específica por nome (por exemplo, Windows Command Shell) ou ID (por exemplo, T1059.003). Para nomes de regras, tipos de registos ou origens de dados MITRE, use o menu Pesquisar por para restringir os resultados.
Veja detalhes da técnica e origens de registos
Clique em qualquer cartão de técnica para abrir o painel lateral de detalhes da técnica. Este painel fornece informações sobre a técnica e a capacidade da sua organização de a detetar.
O painel contém as seguintes informações:
Descrição da MITRE: a descrição oficial da técnica da framework MITRE ATT&CK.
Subtécnicas: todas as subtécnicas associadas à técnica. O chip colorido junto a cada ID indica o número de regras para essa sub-técnica específica.
Regras organizadas: uma lista abrangente de todas as regras associadas a essa técnica.
Origens de registos: origens de registos que correspondem às origens de dados do MITRE para a técnica que enviaram ativamente dados nos últimos 30 dias.
Exportar dados
Clique em Exportar para transferir a vista de matriz atual como um ficheiro JSON. Este ficheiro é compatível com a ferramenta oficial MITRE ATT&CK Navigator para análise adicional.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.